Microsoft Teams 사회 공학 공격이 최근 플랫폼에서 발생했습니다.
4 분. 읽다
에 게시됨
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
Microsoft Teams 사회 공학 공격은 최근 플랫폼에서 러시아 위협 행위자 Midnight Blizzard에 의해 수행되었습니다. 이전에 사용된 위협 행위자 손상된 Microsoft 365 테넌트 기술 지원 엔터티로 표시되는 새 도메인을 생성합니다. 이러한 위장 아래 Midnight Blizzard는 Teams 메시지를 사용하여 사용자를 참여시키고 MFA(다단계 인증) 프롬프트의 승인을 유도하여 조직의 자격 증명을 도용하려고 시도합니다.
Microsoft Teams를 사용하는 모든 조직은 보안 관행을 강화하고 사용자가 시작하지 않은 모든 인증 요청을 악의적인 것으로 취급하는 것이 좋습니다.
그들의 최근 조사에 따르면, 약 40개 미만의 글로벌 조직이 Microsoft Teams 사회 공학 공격의 영향을 받았습니다. 이러한 위협 행위자의 이전 공격과 마찬가지로 조직은 주로 정부, NGO(비정부 조직), IT 서비스, 기술, 개별 제조 및 미디어 부문이었습니다. Midnight Blizzard가 이전에 미국과 영국 정부에 의해 러시아 연방의 해외 정보국으로 분류된 러시아 위협 행위자라는 점을 고려하면 이는 의미가 있습니다.
공격은 2023년 0558월에 발생했습니다. 기억하시는지 모르겠지만, 또 다른 공격자인 Storm-XNUMX도 그 무렵에 Microsoft 서버에 심각한 피해를 입혔습니다.
그러나 Midnight Blizzard는 손상된 계정의 실제 Microsoft Teams 자격 증명을 사용하여 사용자가 장치의 프롬프트에 코드를 입력하도록 유도합니다. 그들은 기술 지원팀이나 보안 팀으로 가장하여 그렇게 합니다.
Microsoft에 따르면 Midnight Blizzard는 3단계로 이를 수행합니다.
- 대상 사용자는 기술 지원 또는 보안 팀으로 위장한 외부 사용자로부터 Microsoft Teams 메시지 요청을 받을 수 있습니다.
- 대상 사용자가 메시지 요청을 수락하면 사용자는 공격자로부터 모바일 장치의 Microsoft Authenticator 앱에 코드를 입력하도록 유도하는 Microsoft Teams 메시지를 받습니다.
- 대상 사용자가 메시지 요청을 수락하고 코드를 Microsoft Authenticator 앱에 입력하면 위협 행위자에게 대상 사용자로 인증할 수 있는 토큰이 부여됩니다. 행위자는 인증 흐름을 완료하여 사용자의 Microsoft 365 계정에 대한 액세스 권한을 얻습니다.
Microsoft는 주의해야 할 이메일 이름 목록을 발표했습니다.
타협의 지표
지시자 | 타입 | 상품 설명 |
msftprotection.onmicrosoft[.]com | 도메인 이름 | 악의적인 행위자가 제어하는 하위 도메인 |
IdentityVerification.onmicrosoft[.]com | 도메인 이름 | 악의적인 행위자가 제어하는 하위 도메인 |
accountVerification.onmicrosoft[.]com | 도메인 이름 | 악의적인 행위자가 제어하는 하위 도메인 |
azuresecuritycenter.onmicrosoft[.]com | 도메인 이름 | 악의적인 행위자가 제어하는 하위 도메인 |
teamprotection.onmicrosoft[.]com | 도메인 이름 | 악의적인 행위자가 제어하는 하위 도메인 |
그러나 다음 권장 사항을 따르면 Microsoft Teams 사회 공학 공격으로부터 자신과 조직을 보호할 수 있습니다.
- 파일럿 및 배포 시작 피싱 방지 인증 방법 사용자를 위해.
- 구현 조건부 액세스 인증 강도 중요한 앱의 직원 및 외부 사용자에게 피싱 방지 인증을 요구합니다.
- 신뢰할 수 있는 Microsoft 365 조직 지정 채팅 및 모임이 허용되거나 차단되는 외부 도메인을 정의합니다.
- 유지 Microsoft 365 감사 필요한 경우 감사 레코드를 조사할 수 있도록 활성화합니다.
- 이해하고 선택 외부 협업을 위한 최상의 액세스 설정 당신의 조직을 위해.
- 알려진 장치만 허용 고수하는 Microsoft의 권장 보안 기준.
- 사용자 교육 about 사회 공학 모든 형태의 요청되지 않은 메시지를 통해 전송된 MFA 코드 입력을 삼가는 것을 포함하여 자격 증명 피싱 공격.
- Microsoft Teams 사용자에게 외부 엔터티의 통신 시도에 대한 '외부' 태깅을 확인하고, 공유하는 내용에 주의하고, 계정 정보를 공유하거나 채팅을 통해 로그인 요청을 승인하지 않도록 교육합니다.
- 사용자 교육 로그인 활동 검토 의심스러운 로그인 시도를 "내가 한 것이 아님"으로 표시합니다.
- 구현 클라우드 앱용 Microsoft Defender의 조건부 액세스 앱 제어 관리되지 않는 장치에서 연결하는 사용자를 위해.
이러한 Microsoft Teams 사회 공학 공격에 대해 어떻게 생각하십니까? 아래 의견란에 알려주십시오.